Phishing via Azure AD B2B Collaboration

Erlend Andreas Gjære | 29 November 2019

This post is also available in English | Read translation

E-posten har invites@microsoft.com som avsender, og alle tekniske undersøkelser (både SPF, DKIM og DMARC) viser at selve meldingen faktisk er sendt fra nettopp Microsoft.

Også alle linkene i e-posten går til legitime adresser hos Microsoft. Likevel er det noe som skurrer, fordi OneDrive-logoen er ikke helt oppdatert:

Når du klikker på lenken "Kom i gang", havner du på en helt legitim landingsside for Office 365-brukere. Hvis du allerede er innlogget her, vil du først bli spurt om å godkjenne at "OneDrive for Business" får tilgang til å logge deg på, og lese navnet ditt, epost-adressen din, og bildet ditt.

Og deretter kan du ende opp på en hvilken som helst URL, under angriperens kontroll.

Fordi hver invitasjon er personlig, er det imidlertid ikke mulig å undersøke hva som skjuler seg bak en annen bruker sin invitasjon. Derfor har vi prøvd å lage en tilsvarende kampanje for å finne ut hvilke muligheter en angriper kan ha med denne teknikken.

Azure Active Directory B2B Collaboration

Tjenesten som kan misbrukes er en på mange måter svært nyttig tjeneste fra Microsoft, som lar virksomheter invitere eksterne brukere fra andre virksomheter inn til sine interne områder, men hvor den eksterne brukeren får logge inn med sin ordinære brukerkonto fra Office 365.

En angriper kan imidlertid opprette en gratis prøveperiode på Azure AD Premium, og få tilgang til de samme funksjonene. Dersom man gir Azure AD-organisasjonen sin navn etter f.eks. en kjent merkevare (som OneDrive for Business i tilfellet over), kan man også legge inn logo som preger e-post-invitasjonen som sendes ut til nye brukere.

Deretter kan man opprette en såkalt "Enterprise App" i denne organisasjonen, og deretter si at denne applikasjonen skal tilby single sign-on gjennom en bestemt URL, som da kan være ondsinnet:

Denne applikasjonen kan videre tilordnes nye brukere, og det er her man legger inn ønskede mottakerne av phishing-kampanjen. Her er det fritt fram for å angi eksterne e-postadresser:

Ved klikk "Invite"-knappen blir altså den nå ondsinnede invitasjonen sendt ut - fra Microsoft. Når mottakerne eventuelt godtar "invitasjonen", havner de på angriperens fiktive landingsside for applikasjoner. 

Herfra vil klikk på den aktuelle applikasjonen ta brukeren til angriperens egen påloggingsside, eller hvilken som helst annen ressurs som ellers er angitt for single sign-on:

Skjermbildet over tilhører for ordens skyld ikke den faktiske phishing-kampanjen vi oppdaget gjennom bruk av MailRisk hos våre kunder. Dette er derimot en landingsside som tilbys gjennom vår egen phishing-simulator, les gjerne vår kronikk på Digi.no om bruk av simulert phishing til bevisstgjøring og opplæring.

For å beskytte virksomheten mot dette konkrete angrepsscenariet, kan man samtidig vurdere å blokkere tilgangen sluttbrukere har til å godkjenne deling av data fra sin egen virksomhetsbruker mot eksterne (multi-tenant) applikasjoner:

Merk at denne innstillingen kan også komme i veien for legitime bruksscenarier for slik pålogging. Samtidig finnes denne konfigurasjonsmuligheten som gjør at man neppe kan kalles misbruk av tjenesten for et "sikkerhetshull" fra Microsoft sin side.

 


Oppdag nye epost-trusler med MailRisk i egen virksomhet.

Vi tilbyr en gratis og uforpliktende prøveperiode.

See all posts →